O que é um Bootkit e Nemesis uma ameaça genuína?

O que é um Bootkit e Nemesis uma ameaça genuína?

A ameaça de pegar um vírus é muito real. A onipresença de forças invisíveis trabalhando para atacar nossos computadores, roubar nossas identidades e invadir nossas contas bancárias é uma constante, mas esperamos que com o quantidade certa de inteligência técnica e um pouco de sorte, tudo ficará bem.





seu pc não iniciou corretamente

No entanto, por mais avançados que sejam os antivírus e outros softwares de segurança, os possíveis invasores continuam a encontrar novos vetores diabólicos para interromper seu sistema. O bootkit é um deles. Embora não seja totalmente novo no cenário do malware, houve um aumento geral em seu uso e uma intensificação definitiva de seus recursos.



Vamos ver o que é um bootkit, examinar uma variante do bootkit, Nemesis e considere o que você pode fazer para ficar claro .





O que é um Bootkit?

Para entender o que é um bootkit, primeiro explicaremos de onde vem a terminologia. Um bootkit é uma variante de um rootkit, um tipo de malware com a capacidade de se ocultar do sistema operacional e do software antivírus. Os rootkits são notoriamente difíceis de detectar e remover. Cada vez que você inicializar seu sistema, o rootkit concederá a um invasor acesso contínuo de nível raiz ao sistema.

Um rootkit pode ser instalado por vários motivos. Às vezes, o rootkit será usado para instalar mais malware, às vezes será usado para criar um computador 'zumbi' dentro de um botnet, pode ser usado para roubar chaves de criptografia e senhas ou uma combinação desses e de outros vetores de ataque.



Os rootkits de nível de carregador de boot (bootkit) substituem ou modificam o carregador de boot legítimo por um de seus designs de atacantes, afetando o Master Boot Record, Volume Boot Record ou outros setores de boot. Isso significa que a infecção pode ser carregada antes do sistema operacional e, portanto, pode subverter qualquer programa de detecção e destruição.

Seu uso está aumentando, e especialistas em segurança notaram uma série de ataques focados em serviços monetários, dos quais 'Nemesis' é um dos ecossistemas de malware mais recentemente observados.



Um Security Nemesis?

Não, não um Jornada nas Estrelas filme, mas uma variante particularmente desagradável do bootkit. O ecossistema de malware Nemesis vem com uma ampla gama de recursos de ataque, incluindo transferência de arquivos, captura de tela, registro de pressionamento de tecla, injeção de processo, manipulação de processo e agendamento de tarefas. FireEye, a empresa de segurança cibernética que primeiro identificou Nemesis, também indicou que o malware inclui um sistema abrangente de suporte backdoor para uma variedade de protocolos de rede e canais de comunicação, permitindo maior comando e controle depois de instalado.

Em um sistema Windows, o Master Boot Record (MBR) armazena informações relacionadas ao disco, como o número e o layout das partições. O MBR é vital para o processo de inicialização, contendo o código que localiza a partição primária ativa. Assim que isso for encontrado, o controle é passado para o Volume Boot Record (VBR), que reside no primeiro setor da partição individual.



O bootkit Nemesis sequestra esse processo. O malware cria um sistema de arquivos virtual personalizado para armazenar componentes do Nemesis no espaço não alocado entre as partições, sequestrando o VBR original ao sobrescrever o código original com o seu próprio, em um sistema denominado 'BOOTRASH'.

'Antes da instalação, o instalador BOOTRASH coleta estatísticas sobre o sistema, incluindo a versão e arquitetura do sistema operacional. O instalador é capaz de implantar versões de 32 ou 64 bits dos componentes Nemesis, dependendo da arquitetura do processador do sistema. O instalador instalará o bootkit em qualquer disco rígido que tenha uma partição de inicialização MBR, independentemente do tipo específico de disco rígido. No entanto, se a partição usar a arquitetura de disco GUID Partition Table, em oposição ao esquema de particionamento MBR, o malware não continuará com o processo de instalação. '

Então, cada vez que a partição é chamada, o código malicioso injeta os componentes do Nemesis no Windows. Como resultado , 'o local de instalação do malware também significa que ele persistirá mesmo após a reinstalação do sistema operacional, amplamente considerada a forma mais eficaz de erradicar o malware', deixando uma batalha difícil por um sistema limpo.

Curiosamente, o ecossistema de malware Nemesis inclui seu próprio recurso de desinstalação. Isso restauraria o setor de inicialização original e removeria o malware do seu sistema - mas só estará lá caso os invasores precisem remover o malware por conta própria.

UEFI Secure Boot

O bootkit Nemesis afetou amplamente as organizações financeiras a fim de coletar dados e desviar fundos. Seu uso não surpreende o engenheiro de marketing técnico sênior da Intel, Brian Richardson , quem notas 'Bootkits e rootkits MBR têm sido um vetor de ataque de vírus desde os dias de' Insira o disco em A: e pressione ENTER para continuar. ' Ele explicou que, embora o Nemesis seja, sem dúvida, um malware extremamente perigoso, ele pode não afetar o seu sistema doméstico tão prontamente.

como editar um pdf no cromo

Os sistemas Windows criados nos últimos anos provavelmente foram formatados usando uma tabela de partição GUID, com o firmware subjacente baseado em UEFI. A parte de criação do sistema de arquivos virtual BOOTRASH do malware depende de uma interrupção de disco legado que não existirá em sistemas inicializando com UEFI, enquanto a verificação de assinatura de inicialização segura UEFI bloquearia um bootkit durante o processo de inicialização.

Portanto, esses sistemas mais novos pré-instalados com Windows 8 ou Windows 10 podem muito bem estar isentos dessa ameaça, pelo menos por enquanto. No entanto, ilustra um grande problema com as grandes empresas que não atualizam seu hardware de TI. Essas empresas ainda usam o Windows 7 e em muitos lugares ainda usando o Windows XP, estão expondo a si próprios e a seus clientes a uma grande ameaça financeira e de dados.

O veneno, o remédio

Os rootkits são operadores complicados. Mestres da ofuscação, eles são projetados para controlar um sistema pelo maior tempo possível, coletando o máximo de informações possível ao longo desse tempo. Empresas de antivírus e antimalware tomaram nota e uma série de rootkit aplicativos de remoção agora estão disponíveis para usuários :

Mesmo com a chance de uma remoção bem-sucedida oferecida, muitos especialistas em segurança concordam que a única maneira de ter 99% de certeza de que um sistema limpo é um formato de unidade completo - portanto, certifique-se de manter seu sistema com backup!

Você experimentou um rootkit ou mesmo um bootkit? Como você limpou seu sistema? Deixe-nos saber abaixo!

Compartilhado Compartilhado Tweet O email 3 maneiras de verificar se um e-mail é verdadeiro ou falso

Se você recebeu um e-mail que parece um pouco duvidoso, é sempre melhor verificar sua autenticidade. Aqui estão três maneiras de saber se um e-mail é real.

Leia a seguir Tópicos relacionados
  • Segurança
  • Partição de Disco
  • Hacking
  • Segurança Informática
  • Malware
Sobre o autor Gavin Phillips(945 artigos publicados)

Gavin é o Editor Júnior do Windows and Technology Explained, um colaborador regular do Podcast Really Useful e um revisor regular do produto. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.

Mais de Gavin Phillips

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Clique aqui para se inscrever